數(shù)據(jù)中心主機安全解決方案

1、 數(shù)據(jù)中心主機安全解決方案 摘要網(wǎng)絡技術飛速發(fā)展在給信息共享帶來了翻天覆地的變化的同時，也帶來了安全隱患。Internet和Intranet無所不在的緊密結合亦使網(wǎng)絡安全問題突出顯現(xiàn)。長期以來網(wǎng)絡安全界對基于網(wǎng)絡應用的外部防范技術關注較多，通過系統(tǒng)內核加固守住數(shù)據(jù)安全的最后一道防線，正在成為繼應用層網(wǎng)絡安全產品后又行之有效的技術手段。眾所周知，操作系統(tǒng)的超級用戶權限(Administrator/root)一權獨大可謂無所不能，一旦被外部或內部的非法攻擊者所竊取或盜用對系統(tǒng)安全的威脅其后果不堪設想。內核加固技術對計算系統(tǒng)中信息交換的主客體增加安全標識，通過安全標識來彌補操作系統(tǒng)的自主訪問控制模式

2、(DAC)的局限性，提高系統(tǒng)的安全性，從而使萬一出現(xiàn)的超級用戶“大權旁落”的威脅風險與破壞程度大大降低。特別是Internet中85%的信息泄露來自于內部（OHiggins，1997），超過80%的計算機犯罪是由內部員工實施。這一現(xiàn)實而言，內核加固技術更具重要意義。背景介紹來自內部的攻擊威脅隱患某些內部員工有攻擊所在公司的目的或動機，并且他們熟知公司資源的訪問控制；內部網(wǎng)物理竊聽容易，有很多的網(wǎng)絡工具可以監(jiān)聽局域網(wǎng)傳輸?shù)娜魏涡畔?；一般的內部服務應用所傳輸?shù)拿舾行畔⒍际敲魑?，如Telnet登陸時輸入的帳號和口令，網(wǎng)頁登錄頁面輸入的用戶名和口令；內部員工所連接的電腦在物理上直接與服務器相連，來自用

3、戶的請求未經任何過濾，直接連到服務器，而相比之下，Internet上的服務器一般都有防火墻的保護。這些原因導致了內部網(wǎng)絡存在的安全威脅相比Internet更值得關注。內部網(wǎng)絡Intranet指的是一個基于TCP/IP通訊協(xié)議的內部信息系統(tǒng)，為用戶提供網(wǎng)絡服務。隨著網(wǎng)絡應用的發(fā)展，很多企業(yè)以及政府部門在自己內部的Intranet中集成了多種應用，包括基于瀏覽器方式的WWW應用以及基于數(shù)據(jù)庫的Client-Server方式應用。使用者憑用戶名和口令進入每個應用，應用也根據(jù)用戶名和口令識別用戶身份，判斷用戶的權限。這樣應用的增加給內部網(wǎng)絡帶來了兩方面的問題。對用戶而言，將擁有多個用戶名和口令，用戶如

4、何有效的管理自己在各個應用中對應的用戶名和口令？如何保護自己的身份信息不被別人竊取呢？如果用戶遺忘了某個用戶名或口令時將會影響他的工作，可能給自己造成很大的損失；如果用戶為了方便記憶在各個應用中都使用同一個用戶名和口令或把自己的各個用戶名、口令記錄在紙上，就會帶來很大的口令泄露的風險。對整個內部網(wǎng)而言，如何在多個應用中統(tǒng)一管理用戶的權限？如何提供保護用戶身份信息的安全機制？如何有效地確保合法用戶在自己擁有的權限內安全地、方便地使用Intranet，同時防止內部人員非法越權訪問？又如何防止網(wǎng)上傳輸?shù)臋C密信息泄露呢？大多數(shù)的WWW服務都使用明文來傳輸用戶名和口令，這很容易被他人從網(wǎng)上截獲。即使是相

5、當好的口令，由于口令的長度很有限，也抵御不了類似字典攻擊這樣的窮舉攻擊。所以當政府部門為了提高辦事效率，建立了自己的網(wǎng)上辦公系統(tǒng)時；當企業(yè)為了提高工作效率，建立了自己的網(wǎng)上管理系統(tǒng)時，將面臨上述問題的困擾。來自外部網(wǎng)絡的攻擊隨著Internet網(wǎng)絡上計算機的不斷增長，所有計算機之間存在很強的依存性。一旦某些計算機遭到了入侵，它就有可能成為入侵者的棲息地和跳板，成為進一步攻擊的工具。對于網(wǎng)絡基礎架構如DNS系統(tǒng)、路由器的攻擊也越來越成為嚴重的安全威脅。當前常用的網(wǎng)絡安全技術與工具的局限性防火墻（Firewall）的局限性，號稱“一夫當關，萬夫莫開”的關口，一定程度上簡化了網(wǎng)絡的安全管理。但入侵者

6、可尋找防火墻背后可能敞開的后門，對于這種防火墻后的入侵者的發(fā)起的網(wǎng)絡內部攻擊防火墻基本無法防范。入侵檢測（IDS）的局限性，很難跟蹤新的入侵模式。且時有誤報警。漏洞掃描（Scanner）局限性，漏洞掃描系統(tǒng)或者稱安全咨詢系統(tǒng)，很難跟蹤新的漏洞，且不能真正全面實時地掃描漏洞。殺毒軟件（Anti-virus）的局限性，殺毒軟件具有后置性，無法應對未知的病毒。綜上所述，計算機信息系統(tǒng)就像一個容易感冒的病人，如何防止感冒呢？現(xiàn)有的安全概念是“戴口罩”，但這無法真正解決問題，所以要做到最根本的自身的免疫才能應對“感冒”。構建由應用層網(wǎng)絡安全產品與內核加固技術內外結合的立體網(wǎng)絡系統(tǒng)防護體系，必將成為網(wǎng)絡安

7、全防護技術的一種發(fā)展趨勢。而內核加固技術作為網(wǎng)絡安全技術的一個堅強后盾與補充，在網(wǎng)絡安全體系中占有越來越重要地位。解決方案介紹目前網(wǎng)絡安全市場以防火墻、IDS等基于網(wǎng)絡防護的安全產品居多，浪潮獨辟蹊徑，在操作系統(tǒng)網(wǎng)絡安全技術領域引入內核加固嶄新理念，開發(fā)成功“浪潮主機安全增強系統(tǒng)”系列產品，簡稱浪潮SSR。該產品不僅可以大幅度地提高企事業(yè)單位信息系統(tǒng)安全水平，還可以提升操作系統(tǒng)的安全等級，使網(wǎng)絡安全技術應用由“治標”轉入“治本”成為可能，對引導企業(yè)信息安全技術應用觀念的轉變也具有重要意義。就像上面所說的，現(xiàn)有的安全概念以及安全產品，比如防火墻、IDS、殺毒軟件等都是一種“戴口罩”的安全防護理念

8、，都是一種很被動的防御方法。浪潮SSR就是要使操作系統(tǒng)本身達到一種自身的免疫，去掉口罩也能達到安全防護的目的，而且是從最根本上解決安全問題。浪潮SSR根據(jù)國家三級的安全標識保護級別的標準，為系統(tǒng)中的信息交換的主客體分別加上安全標記，從而達到了強制訪問控制（MAC)，制約了操作系統(tǒng)原有的自主訪問控制策略（DAC），從根本上控制了信息的交換，實現(xiàn)安全的信息交換的方法。眾所周知，不論是來自內部還是外部的攻擊行為（包括病毒的攻擊）的最終目的就是為了對信息的竊取和監(jiān)聽，我們利用安全標識保護了系統(tǒng)中每一條信息交互的通道，這樣就做到了根本上的系統(tǒng)本身的自身免疫。浪潮SSR的目的就是利用內核加固技術構建一個自

9、身免疫的系統(tǒng)，從根本上實現(xiàn)了一個安全操作系統(tǒng)模型。圖 安全操作系統(tǒng)模型眾所周知，企事業(yè)單位或者政府部門等的重要數(shù)據(jù)都是保存在磁盤的文件系統(tǒng)上的，所以需要保護操作系統(tǒng)的文件子系統(tǒng)，那么最好的方法是什么呢？就是一個安全的操作系統(tǒng)，做一個安全操作系統(tǒng)的最好的解決方法是安全內核，也就是Security Kernel，這就是上面的圖的意思。浪潮SSR在系統(tǒng)訪問界面這一層旁路所有的文件訪問操作，從驅動層來達到為主客體進行安全表示判斷的目的，實現(xiàn)了一個真正的安全內核。圖 安全內核客戶收益安全功能強制訪問控制功能：內核級實現(xiàn)文件強制訪問控制、注冊表強制訪問控制、進程強制訪問控制，服務強制訪問控制。安全審計功能文件的完整性